2011년 개인정보보호법 시행 이후 국민의 개인정보 보호에 대한 인식과 관심은 크게 높아졌지만, 이에 비해 개인정보를 관리하는 기업이나 기관들의 개인정보 보호수준은 아직 낮은 수준에 머물러 있다. 380만개에 달하는 개인정보처리자를 정부가 일일이 규제하고 단속하기에는 한계가 있으므로 개인정보 보호에 대한 일회성 관리가 아닌 개인정보처리자 스스로 체계적이고 지속적인 유지관리 활동을 촉진할 수 있는 제도의 마련이 필요하였다.

이를 위해 도입된 제도가 개인정보 보호 인증(PIPL: Personal Information Protection Level)제도이며, 이를 통해 개인정보처리자에게는 개인정보 보호 활동의 기준을 제시하여 자율적으로 일정 수준 이상의 개인정보 보호가 가능하도록 하고, 정보주체에게는 본인의 개인정보가 안전하게 관리되고 있음을 인식할 수 있는 기준을 제공할 수 있게 되었다.

개인정보보호법 제13조에 따라 개인정보 보호 인증제가 시행(2013.11.29)되면서 개인정보보호법에 적용되는 모든 개인정보처리자(공공기관, 민간기업, 법인, 단체 및 개인)는 신청기관이 될 수 있는데 인증을 취득하고자 하는 개인정보처리자는 ‘개인정보 보호 인증제 운영에 관한 규정’ 제8조의 신청기관에 해당하는 유형의 인증을 신청할 수 있다. 개인정보 보호 인증절차는 인증심사 준비단계, 심사단계, 인증단계로 구성되어 통상 3개월에서 6개월 정도 소요되며, 인증유지관리를 위한 유지관리단계가 있다.

인증심사기준은 크게 ‘개인정보 보호 관리체계’ 분야와 ‘개인정보 보호대책’ 분야로 구성되어 있다. ‘개인정보 보호 관리체계’분야는 PDCA(Plan-Do-Check-Act)의 관점에서 보호 관리체계의 수립(Plan), 실행 및 운영(Do), 검토 및 모니터링(Check) 그리고 교정 및 개선(Act)으로 심사영역이 구성되어 있다. ‘개인정보 보호대책’ 분야는 관리적, 기술적, 물리적 안전성 확보조치 등과 같은 보호조치뿐만 아니라 법적으로 요구되는 개인정보의 처리, 정보주체 권리보장 등에 대한 항목을 포함하여 심사영역이 구성되어 있다.

지금까지 이러한 절차와 기준에 의해 개인정보 보호 인증(PIPL)을 받은 기관은 2개 기관이며, 현재 인증심사 중인 기관 및 기업은 9개이다. 현재 인증취득기관에게는 개인정보보호법에 따라 실시하는 기획점검 대상 제외 또는 실시 유예, 행정처분 감경 등의 혜택이 주어지고 또한 개인정보 보호 우수기관 포상, 개인정보 보호 인증 관련 교육기회 및 정보제공, 행사 참여기회 제공 등의 혜택을 받을 수 있다.

해외의 경우 영국이 2009년 ‘데이터보호 - 개인정보 관리체계 규격(BS10012)’을 제정하였으며, 개인정보 관리체계의 수립 및 이행, 관리활동에 대한 감사 및 경영검토 등 총 6개 분야로 구성된 심사항목을 기준으로 인증을 실시하고 있다. 일본은 ‘개인정보에 관한 컴플라이언스(Compliance) 프로그램의 요구사항(JISQ15001)’을 제정하고, 개인정보의 적절한 보호를 위한 체제를 정비하고 있는지 여부를 심사하여 프라이버시마크(P-Mark)를 부여하는 제도로 민간기업에 활성화되어 있다.

우리의 경우 상기한 PIPL외 ISMS, PIMS 등 유사한 성격을 지닌 정보보호 인증제가 혼재되어 있는데, 차이점으로 정보보호 관리체계(ISMS: Information Security Management System)는 기업의 정보보호대책이 제대로 수립돼 있는지 여부를 평가하는 인증제로 정보통신망법을 근거로 셋 중에서 가장 먼저 2002년에 도입되어 일정규모 이상의 정보통신서비스 제공자라면 의무적으로 받아야 하는 인증이다.

개인정보보호 관리체계(PIMS: Personal Information Management System)는 기업이 개인정보보호활동을 체계적으로 수행하기 위해 필요한 보호조치 체계 구축 여부를 점검하는 인증제로 반드시 받아야 하는 것은 아니며 이것 역시 정보통신망법에 근거를 두고 2011년에 도입되었다.

PIPL은 PIMS와 유사하나 기업규모에 따라 인증을 받아야 하는 심사 항목에 차이가 있으며, 개인정보보호법을 법적 근거로 도입되었다. 다만, 기업의 입장에서 유사한 성격의 인증제가 혼재되어 있다 보니 통합 또는 상호 인증을 요구하는 목소리가 높고 정부의 입장에서도 법적인 근거나 운영하는 부처가 각각 다르긴 하지만 규제완화 차원에서 현재 통합하는 방향으로 추진하고 있어 내년 말이면 가시화 될 것으로 보인다.

개인정보처리자는 앞으로 통합되는 개인정보 보호 인증과정을 통해 개인정보 보호 관련 법령에서 요구하는 기준을 기관 내부에서 준수하는지 여부를 점검하고, 조직 내부 구성원에게 개인정보 보호에 대한 중요성을 전파하여 개인정보보호에 대한 인식 및 역량을 제고할 수 있겠다.

저작권자 © 법조신문 무단전재 및 재배포 금지